Le malware de l’agent Tesla a été mis à jour avec de nouveaux modules de vol d’identité.
Les chercheurs en sécurité ont découvert de nouvelles variantes du malware Agent Tesla qui comprennent désormais des modules capables de voler les identifiants de nombreuses applications populaires, notamment les navigateurs web, les logiciels VPN et les clients FTP et de messagerie.
Découvert pour la première fois en 2014, l’agent Tesla est un enregistreur de frappe et un voleur d’informations qui a gagné en popularité auprès des cybercriminels au cours des deux dernières années. Le malware a été initialement vendu sur divers forums et places de marché de pirates et ses créateurs ont fourni aux clients le malware lui-même ainsi qu’un panneau de gestion pour leur permettre de trier facilement les données qu’il collecte.
Chercheur principal sur les menaces chez SentinelOne, Jim Walter a découvert un code dédié utilisé pour collecter les données de configuration des applications et les informations d’identification des utilisateurs après avoir analysé plusieurs nouveaux échantillons du malware Agent Tesla. Dans un article de blog, Jim Walter a fourni des informations supplémentaires sur les capacités de ces nouveaux modules :
« Actuellement, l’agent Tesla continue d’être utilisé à différents stades des attaques. Sa capacité à gérer et à manipuler en permanence les dispositifs des victimes est toujours attrayante pour les criminels de bas niveau. L’agent Tesla est maintenant capable de récolter les données de configuration et les informations d’identification d’un certain nombre de clients VPN, de clients FTP et de messagerie électronique, et de navigateurs Web. Le malware a la capacité d’extraire les informations d’identification du registre ainsi que les fichiers de configuration ou de support associés ».
Variantes de l’agent Tesla
L’analyse par SentinelOne des dernières variantes de l’agent Tesla a révélé que le malware peut désormais voler les identifiants utilisateur d’un certain nombre d’applications populaires, notamment Google Chrome, Chromium, Safari, Mozilla Firefox, Microsoft Edge, Opera, Microsoft Outlook, Mozilla Thunderbird, OpenVPN et bien d’autres.
Une fois que le logiciel malveillant récolte les informations d’identification et les données de configuration de l’application à partir d’un programme ciblé, il transmet ces informations à son serveur de commande et de contrôle (C2) via FTP ou STMP en utilisant les informations d’identification incluses dans sa configuration interne.
Walter a également souligné dans son billet de blog que les variantes actuelles de l’agent Tesla « déposent ou récupèrent souvent des exécutables secondaires » qui sont ensuite injectés dans des binaires connus et vulnérables sur un hôte ciblé.
Bien que l’agent Tesla existe depuis des années, les nouveaux modules qui ont été ajoutés au malware le rendent encore plus efficace pour voler les données des utilisateurs.